10 шагов: Руководство по соблюдению GDPR в 2022 году
МЕНЮ
Главная страница
Поиск
Регистрация на сайте
Помощь проекту
Архив новостей
ТЕМЫ
Новости ИИ
Городские сумасшедшие
ИИ в медицине
ИИ проекты
Искусственные нейросети
Искусственный интеллект
Слежка за людьми
Угроза ИИ
Компьютерные науки
Машинное обуч. (Ошибки)
Машинное обучение
Машинный перевод
Нейронные сети начинающим
Психология ИИ
Реализация ИИ
Реализация нейросетей
Создание беспилотных авто
Трезво про ИИ
Философия ИИ
Генетические алгоритмы
Капсульные нейросети
Основы нейронных сетей
Распознавание лиц
Распознавание образов
Распознавание речи
Творчество ИИ
Техническое зрение
Чат-боты
Авторизация
2022-06-27 02:08
Общее положение о защите данных (GDPR) является самым жестким законом о конфиденциальности и безопасности в мире, однако лишь немногие организации полностью соблюдают стандарт GDPR в России при сборе пользовательских данных.
Самодовольство - опасная территория. Компании, не соблюдающие требования, могут быть оштрафованы на сумму до 18 миллионов фунтов стерлингов или 4% от годового мирового оборота (в зависимости от того, что больше).
В этом посте четко излагаются стандарты, установленные GDPR, и приводится контрольный список, который поможет организациям соблюдать требования.
Что такое Общие правила защиты данных (GDPR)
GDPR является результатом смелой реформы Европейского союза в области защиты данных. Строгие стандарты конфиденциальности были введены в действие 25 мая 2018 года. Эта система кибербезопасности направлена на защиту персональных данных всех людей в Европейском союзе.
GDPR обновляет Европейскую конвенцию о правах человека 1950 года, чтобы сделать ее актуальной для цифровой эпохи. Статья 8 конвенции гласит, что каждый человек имеет право на уважение частной семейной жизни.
В эпоху аналоговых технологий, породившую конвенцию, границы между общественной и частной жизнью были четкими и легко определяемыми. Сегодня они неоднозначны и размыты. Без четкого и обязательного стандарта, такого как GDPR, клиенты никогда не смогут быть уверены в том, что их личные данные и, следовательно, их частная жизнь соблюдаются.
Что Считается Персональными Данными В Соответствии С GDPR ЕС?
Согласно статье 4 GDPR, персональные данные определяются как любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу. Другими словами, персональные данные - это любые данные, которые связаны с личностью живого человека.
Это включает в себя не только прямые ассоциации, такие как финансовая информация и адреса, но и косвенные связи, такие как оценки, относящиеся к моделям поведения человека.
Определение персональных данных также не зависит от формата, поэтому оно может включать изображения, видео, аудио, цифры и слова.
Неточная информация, относящаяся к субъектам данных, по-прежнему считается персональными данными, поскольку эта информация связана с личными данными. Однако, если информация связана с вымышленным лицом, она не считается персональными данными. Например, если вы ссылаетесь на вымышленного персонажа, проживающего в вымышленном месте, это не считается персональными данными.
На кого распространяется действие GDPR?
GDPR затрагивает любую организацию, которая предлагает товары и услуги людям в ЕС, включая организации, которые не находятся в ЕС. Если вы ведете бизнес онлайн, вы никогда не сможете точно знать, находятся ли люди, с которыми вы заключаете сделки, в ЕС. По этой причине все онлайн-компании должны соответствовать требованиям GDPR, по крайней мере, в качестве защитной меры.
Персональные данные делятся на две категории - на тех, кто контролирует данные, и на тех, кто их обрабатывает.
Контроллеры данных
GDPR определяет контролера как любое физическое лицо, государственный орган, агентство или другой орган, который определяет цель и средства обработки персональных данных. Контролеры решают, как обрабатываются персональные данные.
Например, музыкальная школа использует цифровой экран для уведомления родителей в зале ожидания, когда каждый учитель готов. На экране отображается имя каждого ребенка и номер комнаты для его урока музыки.
Музыкальная школа классифицируется как “контролер” персональных данных, поскольку она решает, как система уведомлений должна обрабатывать все данные.
Процессоры Обработки данных
GDPR определяет любое физическое лицо, государственный орган, агентство или другой орган, который обрабатывает персональные данные от имени контролера. Поскольку обработчики выполняют правила обработки данных, установленные контролером, они не принимают решений о том, как обрабатываются персональные данные.
Например, компания-разработчик программного обеспечения нанимает маркетолога для предстоящей кампании по электронной почте. Маркетологу предоставляются имена и адреса электронной почты всех потенциальных клиентов, чтобы каждому из них можно было отправить персонализированное электронное письмо.
Компания-разработчик программного обеспечения классифицируется как контролер персональных данных, поскольку она определяет, как следует обрабатывать данные. Маркетолог классифицируется как “обработчик”, поскольку он выполняет инструкции по обработке данных компании-разработчика программного обеспечения.
Несмотря на то, что процессы просто следуют инструкциям контроллера, ожидается, что они по-прежнему будут соответствовать требованиям GDPR наряду с процессами, поскольку они обрабатывают персональные данные.
10-Шаговый контрольный список для соответствия требованиям GDPR
Следующий контрольный список поможет предприятиям оценить их текущий статус соблюдения GDPR, а также реформировать неэффективные методы обработки данных, чтобы стать более совместимыми.
1. Знайте все данные, которые вы собираете
Если вы не знаете, как персональные данные проходят через ваши внутренние системы, вы не знаете, как они контролируются. Вот простая структура из 7 категорий для сопоставления всех источников данных с примером процесса загрузки электронной книги:
Источник
Форма для загрузки электронной книги
Собранные данные
Полное имя.
Адрес электронной почты.
Фирменное наименование
Причина сбора данных
Создание потенциальных клиентов по продажам
Как обрабатываются собранные данные?
Хранится в базе данных Mailchimp.
Доступ осуществляется внутренними маркетологами электронной почты.
Когда данные удаляются?
Все отписавшиеся клиенты удаляются вручную из Mailchimp каждые 30 дней.
Есть ли у вас согласие на сбор этих данных?
Да, форма загрузки электронной книги содержала сообщение о том, что все записи добавлены в список электронной почты.
Включают ли собранные данные конфиденциальную информацию?
Да, полные имена и соответствующие адреса электронной почты.
Этот протокол фильтрации следует применять ко всем внутренним данным до тех пор, пока вы не сможете уверенно отобразить жизненный цикл всех потоков данных.
Поскольку GDPR ориентирован на защиту конфиденциальных данных, важно идентифицировать все их экземпляры и классифицировать каждую запись по уровню чувствительности.
Чем выше чувствительность данных, тем легче идентифицировать и скомпрометировать человека. Личная информация, позволяющая установить личность (PII), считается очень конфиденциальной и должна защищаться с использованием самого высокого уровня кибербезопасности.
Классифицируются ли IP-адреса как персональные данные?
IP-адреса классифицируются как персональные данные, если они могут быть связаны с личностью человека. Например, если IP-адрес пользователя собирается вместе с его адресом электронной почты, это будет считаться персональными данными, поскольку личность человека связана с его адресом электронной почты.
Все персональные данные людей в ЕС строго подчиняются требованиям GDPR. Если вы не уверены, классифицируются ли собираемые вами IP-адреса как персональные данные, обратитесь в надзорный орган вашего государства ЕС.
2. Назначьте Сотрудника по защите данных (DPO)
В статье 37 GDPR говорится, что как контролеры, так и процессы должны назначить сотрудника по защите данных (DPO) для контроля за стратегией защиты данных. Обратите внимание, что ожидается, что даже процессы будут иметь стратегию защиты данных, даже если они просто следуют инструкциям по обработке данных, установленным процессорами.
Согласно GDPR, организация должна назначить DPO, если выполняется любое из следующих условий:
Если данные обрабатываются государственным органом
Если собранные данные подвергаются систематическому мониторингу
Если собранные данные обрабатываются в больших масштабах
К сожалению, GDPR не определяет, насколько велик “крупный масштаб”. Из-за этой двусмысленности многие организации предпочитают назначать DPO просто на всякий случай.
Организации должны назначать DPO там, где их операции по обработке данных централизованы, даже если они расположены за пределами ЕС. Если организация расположена в ЕС, DPO должен быть размещен в государстве-члене, где находится штаб-квартира компании.
В идеале DPO должен говорить на тех же языках, что и регулирующие органы GDPR в этом штате. Это поможет организациям понять и, следовательно, соблюдать нюансы GDPR этого государства.
В статье 39 GDPR говорится, что DPO должен быть способен выполнять следующие обязанности:
Уверенно консультируя как контролеров, так и процессы по лучшим практикам соблюдения GDPR
Мониторинг обработки данных для обеспечения соблюдения GDPR
Предоставление точных рекомендаций по оценке воздействия на защиту данных
Выступать в качестве основного контактного лица для всех запросов на обработку данных
Выступать в качестве основного контактного лица между компанией и регулирующими органами GDPR
Иметь четкое представление обо всех потенциальных рисках, связанных с различными операциями обработки
Чтобы эффективно выполнять эти обязанности, DPO должен обладать экспертными знаниями законов и передовой практики GDPR.
Чтобы поддержать усилия DPO, организациям следует внедрить решение для мониторинга поверхности атаки для выявления уязвимостей, которые могут подвергать обработке данные.
3. Создайте дневник GDPR
Дневник GDPR, или Реестр данных, представляет собой исчерпывающую информацию о том, как организация соблюдает требования GDPR. Это должно быть создано после определения всех ваших источников данных (пункт 1 в этом списке).
Дневник GDPR должен отображать поток данных через вашу организацию, и чем больше деталей можно включить, тем лучше. В случае аудита дневник GDPR послужит доказательством соответствия требованиям.
Если ваша организация столкнется с утечкой данных в процессе внедрения системы соответствия требованиям, дневник GDPR можно использовать в качестве доказательства прогресса в повышении безопасности данных.
Стороннее решение для мониторинга поверхности атаки помогает организациям выявлять и устранять все уязвимости, связанные с утечкой данных, в их сети поставщиков.
Раннее внедрение такого решения демонстрирует приверженность организации защите данных клиентов.
4. Оцените свои требования к сбору данных
Чтобы соответствовать требованиям GDPR, вы должны собирать только те данные, которые вам абсолютно необходимы. Накопление конфиденциальных данных без веской причины послужит сигналом тревоги для надзорного органа, контролирующего соблюдение вами требований законодательства.
Все требования к данным должны быть тщательно изучены с помощью Оценки воздействия на конфиденциальность (IPIA) и Оценки воздействия на защиту данных (DPIA). Эти оценки воздействия являются обязательными, когда собранные данные являются высокочувствительными.
Классификация “чувствительности” порой субъективна. Чтобы избежать путаницы, вот некоторые случаи, для которых потребуется заполнение DPIA.
Когда ваша организация использует новые технологии
Если вы отслеживаете местоположение отдельных людей
Если вы отслеживаете поведение отдельных людей
Если ваши данные связаны с детьми
Если вы используете данные для автоматизированных решений, которые могут иметь юридические последствия
Если вы отслеживаете общедоступные области
Если вы обрабатываете персональные данные, такие как:
Религиозные взгляды
Этническое происхождение и идентичность
Политические взгляды
Членство
Генетические данные
Биометрические данные
Философские убеждения
Медицинские записи
Сексуальная ориентация
Шаблон Оценки воздействия на защиту данных (DPIA)
Офис Уполномоченного по информации в Великобритании создал шаблон DPIA, который можно использовать в качестве руководства для оценки защиты данных.
Этот шаблон предоставляет более глубокий контекст для действий, требующих DPIA, чтобы помочь вам решить, требует ли ваша конкретная операция обработки оценки.
5. Немедленно сообщайте об утечках данных
Немедленное уведомление о нарушении данных является обязательным требованием GDPR. Согласно статье 33 GDPR, как контролеры, так и обработчики должны сообщать о нарушениях данных в течение 72 часов.
Иерархическая структура отчетности выглядит следующим образом:
Обработчики должны сообщать о нарушениях данных контроллерам, а контроллеры должны сообщать в надзорный орган.
Надзорный орган, также известный как Ассоциация по защите данных или DPA, отвечает за мониторинг и обеспечение соблюдения GDPR. Они также являются основным контактным лицом для всех запросов GDPR для организации.
Надзорные органы обычно находятся в государстве ЕС, в котором базируется организация. GDPR уполномочивает DPA налагать штрафы за несоблюдение требований как на контроллеров, так и на процессоров.
6. Будьте прозрачны в отношении мотивов сбора данных.
Ваши клиенты должны быть осведомлены обо всех данных, которые вы собираете о них. Тайный сбор данных приведет только к крупному штрафу за несоблюдение требований.
Подтверждение сбора данных должно быть четко отображено в каждом пункте сбора данных - до того, как будут собраны какие-либо данные.
Вот некоторые распространенные местоположения веб-сайтов, на которых отображаются уведомления о сборе данных:
Формы веб-сайта
В формах веб-сайта должно быть четко указано, как будут использоваться все собранные данные. Избегайте сложных формулировок или использования жаргона, ваши сообщения должны быть четкими и краткими.
Предварительно отмеченные галочками поля согласия не допускаются. Люди должны всегда знать, что они дают согласие на сбор данных.
Уведомления о сборе файлов cookie
GDPR классифицирует файлы cookie, которые идентифицируют пользователей как сборщиков персональных данных, в результате чего они нуждаются в регулировании. Организации по-прежнему могут использовать данные файлов cookie при условии, что они соответствуют следующим требованиям GDPR:
Пользователи должны дать четкое согласие на использование файлов cookie, прежде чем они будут использованы.
Организации должны четко указать, как будут использоваться данные файлов cookie.
Все согласия пользователя должны быть задокументированы и сохранены.
Доступ к веб-сайту не должен быть затруднен, если не предоставлено согласие на использование файлов cookie.
Пользователи должны иметь возможность беспрепятственно отозвать согласие на использование файлов cookie..
Вот пример уведомления о файлах cookie, в котором указывается, как будут использоваться данные файлов cookie. Это уведомление позволяет пользователям полностью контролировать конкретные данные файлов cookie, от которых они готовы отказаться.
7. Проверьте возраст всех пользователей, дающих согласие на обработку данных
GDPR разрешает обработку персональных данных только лицам в возрасте не менее 16 лет. Для законного сбора персональных данных от лиц младше этого возраста необходимо согласие лица, несущего родительскую ответственность за ребенка.
Если есть вероятность, что граждане ЕС в возрасте до 16 лет будут посещать ваш веб-сайт, вы должны включить процесс проверки возраста, чтобы проверить возраст пользователей, прежде чем собирать какие-либо данные.
Если требуется обработка персональных данных несовершеннолетних пользователей, требуется отдельная процедура получения согласия родителей.э
8. Включите двойную подписку для всех новых подписок в списке рассылки
Чтобы с уверенностью подтвердить, что все ваши подписчики согласились подписаться на ваш список рассылки, вы должны включить процедуру двойной регистрации для всех новых подписчиков.
Когда включена двойная регистрация, пользователь не добавляется в список рассылки до тех пор, пока он дважды не подтвердит свое согласие. Первое согласие возникает при заполнении формы регистрации, а второе согласие возникает, когда пользователь нажимает на ссылку подтверждения в электронном письме, которое автоматически отправляется ему после заполнения формы.
В GDPR прямо не указано, что процесс двойной регистрации является обязательным, но это настоятельно рекомендуется. Внедряя двойную подписку для всех новых подписок по электронной почте, вы дополнительно подтверждаете, что пользователи согласны отказаться от своих данных, что демонстрирует вашу приверженность стандартам защиты данных, установленным GDPR.
9. Постоянно обновляйте свою Политику конфиденциальности
Ваша Политика конфиденциальности должна быть легко доступна на вашем веб-сайте и всегда обновляться. Всякий раз, когда вносится обновление, все ваши клиенты должны получать уведомления о любых изменениях по электронной почте.
Политика конфиденциальности должна четко описывать все собираемые данные и то, как они будут использоваться. Рекомендуется юридическая консультация для создания точной Политики конфиденциальности данных, соответствующей требованиям GDPR.
Например, ознакомьтесь с Политикой конфиденциальности на веб-сайте GDPR
10. Регулярно оценивайте все риски, связанные с третьими сторонами
GDPR требует, чтобы организации постоянно были осведомлены обо всех рисках безопасности и предпринимали усилия по устранению каждого из них.
Чтобы эффективно соответствовать этим требованиям, организации должны внедрить решение для оценки безопасности и оценки рисков - в идеале оценки рисков, специфичных для GDPR.
VendorRisk от UpGuard представляет риск безопасности каждого поставщика с оценкой безопасности. Это позволяет организациям мгновенно выявлять и устранять все уязвимости в системе безопасности каждого поставщика.
VendorRisk также включает в себя обширную библиотеку оценок рисков, включая стандартный вопросник по безопасности GDPR, чтобы гарантировать, что все третьи стороны соблюдают требования.
Ключом к безопасной экосистеме является постоянный мониторинг уязвимостей и немедленное их устранение. Если ваша организация не обладает необходимыми знаниями или ресурсами для такой целенаправленной работы, аналитики киберразведки мирового класса могут управлять полным спектром безопасности вашего поставщика от вашего имени.
UpGuard Помогает Предприятиям Соблюдать Требования GDPR
UpGuard помогает предприятиям поддерживать соответствие GDPR, выявляя и устраняя конкретные уязвимости в системе безопасности, влияющие на регулирование.
UpGuard также позволяет предприятиям отслеживать соответствие сторонних организаций популярным правилам, сопоставляя ответы на оценку рисков с мерами контроля безопасности. Это выявляет любые пробелы в соблюдении требований, подвергающие третьи стороны повышенному риску штрафов регулирующих органов и утечек данных.
Источник: www.upguard.com